Synspunkt
Synspunkt | Jørgen Raste: Hvordan avsløre en spion på jobb?
Nylig arresterte PST en mann de mener er russisk spion på Universitetet i Tromsø. Hvordan kan norske virksomheter sikre seg mot at dette skjer igjen?
Jørgen Raste er seniorkonsulent innen informasjonssikkerhet I Sopra Steria.
Lyst til å sende oss et innlegg? E-post-adressen er synspunkt@dagensperspektiv.no
SYNSPUNKT: NRK, tirsdag 22. november: PST vil forlenge fengsling av spionsiktet ved UiT. Mannen ble pågrepet ved Universitetet i Tromsø (UiT) i slutten av oktober.
I løpet av denne måneden han har vært varetektsfengslet, har UiT fått kritikk.
De ansatte mannen på grunnlag av falske premisser. Han kunne erverve seg informasjon om forskning på rikets sikkerhet. Selv om vedkommende ikke hadde tilgang til informasjon som kan skade nasjonale sikkerhetsinteresser, utgjorde han en trussel.
Spørsmålet er hvor det glapp – og hvor mye universitetsledelsen kunne gjort for å unngå en slik situasjon.
Jeg skal straks komme tilbake til hva man kan gjøre innenfor lovens begrensninger. For prinsippets skyld antar jeg at mannen faktisk er russisk spion, noe som altså ennå ikke er fastslått.
Vrient uten sikkerhetsloven
Dette er ikke så enkelt: Bakgrunnssjekk med referanser, verifisering av attester og bruk av åpne kilder vil ofte ikke være nok.
Når vi snakker om en så avansert trusselaktør som fremmed etterretning, har de kapasitet til å skjule åpenbare spor som vanlige bakgrunnssjekker ville avdekket. Akademia er neppe alene om å ha disse utfordringene.
En viktig grunn er at UiT ikke hadde hjemmel til å gjøre bakgrunnssjekker etter sikkerhetsloven. Mannen hadde nemlig ikke tilgang til informasjon som er vurdert til å skade nasjonale sikkerhetsinteresser.
Dette begrenser altså hvor dypt de kunne grave for å avdekke uærlige hensikter. Med sikkerhetsloven i ryggen kunne de hentet inn mer informasjon fra flere kilder og avsløre saker som dette tidligere.
Etterretningens ansvar
En tidligere kollega av den spionsiktede, professor Gunhild Hoogensen Gjørv, sa til NRK tirsdag 1. november at «å svekke tilliten i samfunnet er en like stor trussel mot rikets sikkerhet som spioner på universiteter».
Det er vrient å si seg uenig i. Tillit er viktig både for alt vi foretar oss og for utvikling, det er noe vi må ta godt vare på.
«Her har norske utlendingsmyndigheter utstedt oppholdstillatelse og det er de, ikke UiT, som skulle avslørt den angivelige falske identiteten hans.»
I samme NRK-artikkel sier tidligere etterretningsleder Ola Kaldager at personer fra enkelte land fint kan arbeide ved norske universiteter, men at de kanskje burde holde seg til fagområder som ikke berører rikets sikkerhet.
Ulempen er at det kan gjøre akademia og samfunn mer lukket. Forskningen kan fort bli navlebeskuende dersom vi utelukkende samarbeider med mennesker «som oss», folk med de samme erfaringene og verdensbilde.
Og det er jo som Gjørv sier til NRK, at «det primært er etterretningstjenestene, ikke de, som skal avdekke spionasje». Her har norske utlendingsmyndigheter utstedt oppholdstillatelse og det er de, ikke UiT, som skulle avslørt den angivelige falske identiteten hans.
Hva kan virksomheter egentlig gjøre?
Likevel kan ulike virksomheter gjøre ganske mye, selv uten de virkelig dype bakgrunnssjekkene som de altså ikke har mulighet til.
- Ta utgangspunkt i hvilke verdier andre kan utnytte. Hva ulike personer kan få tilgang til, er kjernen i alt sikkerhetsarbeid. For å vite hva du skal beskytte, må du vite hva du har.
- Identifiser hvilke roller som er «utsatt». Stillinger med tilgang til mye eller mer informasjon enn andre, også til sensitiv informasjon. Forskerstillinger innen rikets sikkerhet og sentrale roller i olje- og gassnæringen er eksempler.
- Lag en mal for samtaler ved ansettelser i utsatte stillinger. Man må forsikre seg om at personen er pålitelig, lojal og utviser sunn dømmekraft.
- Etabler klare regler for hva som kommuniseres til hvem, og hvordan. Ikke all informasjon bør kommuniseres til alle. Hvilken informasjon har den enkelte tjenstlig behov for?
- Etabler prosesser for å sikre dialog under hele arbeidsforholdet: Fra rutiner for «onboarding», via daglig sikkerhetsledelse, til en avslutning av arbeidsforholdet. Krav om taushet må gjelde også etter at vedkommende har sluttet.
En fullgod løsning på lang sikt får vi først når sikkerhetstjenestene og akademia samarbeider tettere. Begge jobber med nasjonale sikkerhetsinteresser, men samarbeid og tillit på dette nivået kan være krevende å etablere.
Tiltakene over er kun noen små skritt på veien.
Uansett er det liten tvil om at dagens trusselbilde utfordrer både hvordan vi tenker rundt sikkerhetsarbeid og hvordan ulike virksomheter samarbeider i spørsmål om nasjonal sikkerhet – ikke minst der det handler om enkeltpersoner.
Ingen kan forvente at noen alene avslører en spion på jobb.
